AMCS Cloud Beveiliging

Dit artikel is bedoeld om een overzicht te geven van de cloudbeveiliging die door AMCS wordt gebruikt. Het omvat twee gebieden, namelijk de applicatiebeveiligingsfuncties en de operationele beveiligingssystemen die in de organisatie worden gebruikt, ter ondersteuning van productontwikkeling en -beheer.

1. Beveiligingsfuncties van toepassingen

AMCS-cloudbeveiliging wordt geleverd met behulp van best practices en technologieën uit de branche.  We gebruiken ook verschillende operationele systemen en controles om ervoor te zorgen dat we continu controleren op nieuwe bedreigingen of aanvallen, terwijl we uw gegevens veilig en beveiligd houden.

1.1 Versleuteling van gegevens tijdens verzending

De overdracht van alle gegevens naar onze cloudomgeving wordt gedwongen te worden gecodeerd met industriestandaard protocollen en coderingssuites.  Dit omvat:

• Gebruikersreferenties
• Operationele en financiële gegevens
• Persoonlijk identificeerbare informatie (PII)

Systemen van derden die proberen gegevens naar onze API's te verzenden zonder deze coderingsniveaus, worden geweigerd.

We handhaven een minimum van TLS 1.2 om ervoor te zorgen dat alle gegevens die we accepteren, gecodeerd en geverifieerd zijn en niet zijn gemanipuleerd tijdens het transport tussen toepassingen.

1.2 Versleuteling van gegevens in rust

Zodra uw gegevens zijn geaccepteerd in onze cloudomgeving, worden deze opgeslagen in beveiligde opslagservices.  Deze services kunnen variëren afhankelijk van het type en de toepassing met betrekking tot de gegevens.  De drie belangrijkste typen zijn database, bestandsopslag en BLOB-opslag.

Alle drie deze services zijn geconfigureerd om uw gegevens in rust te versleutelen, wat betekent dat als een aanvaller toegang krijgt tot de fysieke schijf of het apparaat, de gegevens worden gecodeerd.

1.3 Gebruikersverificatie, autorisatie en controle

Alle gebruikersreferenties worden veilig verzonden en opgeslagen.  Wachtwoorden worden opgeslagen met behulp van een eenrichtings hashing-algoritme.

Het systeem biedt de functionaliteit voor uw gebruikersbeheerders om de toegangsniveaus per groep en toegangsrechten te beheren.

Alle gebruikersactiviteit wordt gecontroleerd, zodat u volledige traceerbaarheid hebt voor activiteit op uw systeem.

1.4 Single Sign On (SSO) en Multi Factor Authentication (MFA)

Waar mogelijk biedt AMCS volledige integratie met uw identiteitsprovider om een single sign-on-ervaring voor uw gebruikers te implementeren.  Deze implementaties ondersteunen alle MFA-besturingselementen die u hebt geconfigureerd met behulp van de volgende identificatieproviders:

• Okta
• Azure AD
• Googlen

1.5 DDoS-bescherming

Alle netwerkeindpunten zijn beschermd tegen veelvoorkomende netwerkaanvallen, waaronder distributed denial of service-aanvallen.  Een beperking wordt automatisch ingesteld wanneer een aanval plaatsvindt en zorgt er zo voor dat de service beschikbaar is voor de geldige gebruikers.

2. Operationele beveiligingssystemen

2.1 Beleid voor back-up en bewaring van databases

AMCS hebben een beleid voor back-up en -bewaring van gegevens dat standaard wordt geïmplementeerd voor alle exemplaren van het AMCS-platform. Dit beleid omvat de regelmatige point-in-time back-up van productiedatabases om de 5 minuten continu. Deze snapshots worden offsite opgeslagen op een andere geografische locatie met het oog op noodherstel, maar binnen dezelfde geopolitieke grens om te voldoen aan de vereisten voor gegevenssoevereiniteit.  De snapshots worden 35 dagen opgeslagen en kunnen worden gebruikt om het systeem met één seconde nauwkeurigheid te herstellen naar een point-in-time. Daarnaast is back-up en retentie op lange termijn standaard. Er worden maandelijkse back-ups gemaakt die 12 maanden worden bewaard en jaarlijkse back-ups worden 10 jaar bewaard.

2.2 Continue monitoring en alarmering

Alle productiesystemen zijn geïntegreerd in ons wereldwijde 24/7 monitoringsysteem.  Dit zorgt ervoor dat alle applicaties en hun kritieke afhankelijkheden beschikbaar zijn.  In het geval van een storing wordt een waarschuwing geactiveerd die het ondersteuningsproces initieert.

2.3 Threat Detection en Intrusion Alert System

Het beveiligingssysteem past zich aan het gebruikelijke gedrag van de gebruikers en eventuele externe systemen die rechtstreeks met de omgeving communiceren.  Wanneer er activiteit optreedt die niet in het gebruikelijke patroon past, wordt deze op de juiste manier gemarkeerd.  Als bijvoorbeeld een openbare API die normaal gesproken verkeer uit een Europese regio bedient, plotseling wordt aangeroepen vanuit Noord-Amerika, wordt deze anomalie gemarkeerd voor het AMCS Cyber Security Team.

2.4 Beoordeling van kwetsbaarheden

Vulnerability assessment agents worden gebruikt om continu alle servers en endpoints te scannen op de nieuwste bekende kwetsbaarheden, en deze worden centraal gerapporteerd aan het AMCS Cyber Security team.  De kwetsbaarheden worden gescoord met behulp van het CVSS en worden uitgevoerd volgens de SLA (zie bijlage A).

2.5 Dynamisch scannen van toepassingen

We testen onze nieuwste softwarerelease voortdurend op alle bekende OWASP-kwetsbaarheden.  Deze scans kruipen automatisch door een geïmplementeerde productie-achtige omgeving en testen eindpunten op zwakke punten of verkeerde configuraties.  De kwetsbaarheden worden gescoord met behulp van het CVSS en worden uitgevoerd volgens de SLA (zie bijlage A). 

2.6 Onafhankelijke beveiligingstests van derden

De AMCS Cloud wordt onderworpen aan een regelmatige beveiligingstest die wordt uitgevoerd door een onafhankelijke CREST-gecertificeerde provider.  De resultaten van de tests worden beoordeeld door het AMCS Cyber Security-team en worden uitgevoerd volgens de SLA (zie bijlage A).

2.7 Endpoint Protection

Alle eindpunten worden beschermd met behulp van de beste beveiligingssoftware om realtime bescherming te bieden tegen malware, spyware en andere schadelijke software.

2.8 Updatebeheer

OS-updates en patches worden automatisch uitgerold over alle servers en dit gebeurt volgens een maandelijks schema.  Belangrijke kwetsbaarheden zoals zero-day-aanvallen worden van geval tot geval behandeld.

3. Aanhangsel

3.1 Bijlage A – SLA over CVSS-classificatie